Интернет-мошенники поздравили жертв с Рождеством

Аналитики «Доктор Веб» обратили внимание на вышедшее в декабре очередное критическое обновление Windows, которое закрыло уязвимость в обработчике XML. Причиной его появления стало распространение эксплойта, который использовал эту уязвимость. При запуске он осуществляет проверку наличия в системе браузера Internet Explorer 7, а также проверку на то, что он загружен в ОС Windows XP или Windows 2003 Server. После этого эксплойт создавал специальный XML-тег, в результате обработки которого начинается загрузка с сайта мошенников и установка в систему вредоносных программ.

Далее эксперты «Доктор Веб» отмечают несколько случаев распространения вредоносных программ, блокирующих доступ к документам пользователя. Один из таких троянцев, распространявшийся под видом генератора серийных номеров на продукты Adobe System, переименовывал документы и папки с использованием символов, не соответствующих принятым в Windows стандартам. Другой использовал шифрование пользовательских документов и, помимо собственно шифрования файлов, перемещал их в специально создаваемые папки в профиле пользователя Windows. При этом оригинальные файлы заменялись сообщением об ошибке.

Декабрь – время рассылки поздравительных электронных открыток, и вирусописатели не упустили шанса использовать этот факт в собственных целях. Одна из рассылок осуществлялась якобы от лица сервиса Hallmark и содержала в себе прямую ссылку на самораспаковывающийся архив с вредоносной программой и набором безвредных утилит, которые, впрочем, использовались ею в своих целях. Многие пользователи получили письма со ссылкой на сайт, по которой им предлагалось скачать рождественскую открытку, в то время как на самом деле все ссылки на этом сайте вели на различные вредоносные программы. В течение недели в середине декабря производилась русскоязычная рассылка с приложенным троянцем для кражи пользовательских паролей, который путем нехитрых манипуляций с названием файла был замаскирован под фотографию.

В очередной раз пострадали пользователи социальных сетей. С одного из аккаунтов «В Контакте» рассылались личные сообщения о возможности получить денежный бонус. По ссылке из этого сообщения жертвы переходили на подставной сайт, внешне копирующий «В Контакте», где им предлагалось ввести свои логин и пароль, а также скачать специальную программу, которая после установки на мобильный телефон начинала рассылку платных SMS-сообщений.

К сожалению, рождественские и предновогодние хлопоты не отвлекли от своих основных занятий и фишеров. От их действий в первый месяц зимы пострадали клиенты JPMorgan Chase Bank, Frost Bank и интернет-аукциона eBay.

В заключение специалисты «Доктор Веб» указывают на один из случаев SMS-мошенничества, также имевший место в декабре. Троян, ориентированный на пользователей нелицензионных копий Windows, при запуске копирует себя в папку установки Windows и прописывает себя в автозапуск. После этого, убрав с рабочего стола все окна и панели, он выдавал сообщение якобы от Microsoft с требованием зарегистрировать используемую копию Windows посредством SMS.